Adempimenti privacy: le linee guida del CNDCEC per gli ordini professionali

In data 03 luglio 2024 il Consiglio Nazionale dei Dottori Commercialisti ed Esperti contabili (CNDCEC) ha pubblicato le «Linee guida per l’adempimento degli obblighi privacy negli ordini professionali» -documento curato dalla Commissione di studio “Privacy Ordini professionali”, nell’ambito dell’area di delega “Compliance e modelli organizzativi delle imprese” affidata alla Consigliera Eliana Quintili - dandone pubblicità mediante nota informativa trasmessa a tutti i Presidenti.

Tali Linee guida prendono spunto dai risultati altalenanti emersi in relazione alla valutazione del livello di compliance degli Ordini territoriali, Enti che troppo spesso percepiscono gli adempimenti unicamente sotto il profilo formale, senza comprendere appieno i rischi legati al trattamento dei dati personali.

Per tale ragione, il testo si pone di fatto un duplice obiettivo:

• «fornire soluzioni specifiche a problematiche ricorrenti nella gestione degli adempimenti privacy da parte degli Ordini»;
• accrescere la cultura sul tema e far «comprendere la rilevanza della disciplina, degli adempimenti di sicurezza da porre in essere e delle regole da applicare, che devono essere consigliate con forza per la salvaguardia di tutti i soggetti interessati ai vari trattamenti dei dati».

Di seguito si analizzano i principali aspetti operativi contenuti nel documento in esame.

I contenuti del documento

Il documento è costituito da cinque parti:

1. Il trattamento dei dati personali – aspetti operativi;
2. i diritti degli iscritti (interessati al trattamento dei dati);
3. gli aspetti privacy e i dipendenti degli ordini professionali;
4. i rapporti privacy con i soggetti esterni fornitori di beni e/o servizi;
5. focus operativi.

Il testo si completa con un’appendice contenente una serie di fac-simile operativi.

In particolare, nella prima parte – dopo aver precisato la base giuridica che caratterizza le attività di trattamento legate ai dati degli iscritti (adempimento di un obbligo di legge) – è presentata una carrellata di adempimenti tipici cui sono tenuti gli Ordini.

Si parte dal documento contenente le informazioni sul trattamento dei dati personali (c.d. informativa) da fornire agli iscritti, della quale è presente un fac-simile in appendice.

Successivamente, si evidenzia la necessità di predisporre una valutazione dei rischi (rinviando sul tema al tool messo a disposizione dall’ENISA - European Union Agency for Cybersecurity), anche con l’ausilio dei consulenti informatici dell’Ordine, finalizzata a definire le misure di sicurezza tecniche e organizzative idonee a «fronteggiare i rischi individuati». Delle misure di sicurezza viene illustrato un ampio ventaglio, richiamando a supporto anche gli standard ISO (in particolare ISO 27701 e 27702), i suggerimenti forniti da ENISA, le indicazioni contenute nel framework Nazionale per la cybersecurity e la Data Protection, i controlli CIS (Center for Internet Security) e le regole NIST (National Institute of Standards and Technology).

Ancora, il testo affronta i temi della Valutazione di impatto (DPIA), evidenziandone i contenuti e gli elementi essenziali, e del Data Breach, sottolineando la necessità per ogni Ordine di dotarsi di una procedura specifica a riguardo.

Ampio spazio è dedicato al Responsabile della Protezione dei dati (RPD o DPO). Si tratta di una figura obbligatoria per gli Ordini Professionali ai sensi dell’art. 37, par. 1, lett. a), del GDPR; il documento in esame ne evidenzia le caratteristiche, il ruolo e i compiti assegnati, riportando le modalità operative previste in tema di pubblicità della nomina.

La prima parte si conclude con una descrizione del registro delle attività di trattamento, del quale è proposto un fac-simile in appendice.

La seconda parte delle Linee guida è dedicata ai diritti degli interessati, richiamando l’attenzione sull’importanza di adottare una specifica procedura per l’esercizio di tali diritti. Si evidenzia, altresì, la necessità di adottare in generale una serie di procedure (policy), sotto forma di regolamenti, quali, ad esempio:

• regolamento per l’utilizzo delle attrezzature informatiche, ivi compreso l’utilizzo della posta elettronica;
• regolamento per il trattamento dei dati personali, dove vengono disciplinate le modalità del trattamento;
• regolamento per l’esercizio dei diritti degli interessati;
• regolamento contenente una procedura in caso di data breach.

La terza parte si concentra su di un’altra categoria di interessati i cui dati sono trattati dagli Ordini Professionali, ossia i dipendenti. Allo stesso tempo, viene evidenziata la necessità di autorizzare al trattamento dei dati personali il personale dell’Ordine (tra cui anche i collaboratori, gli amministratori di sistema interni, i componenti del Consiglio dell’Ordine, i componenti delle commissioni e il referente OCC).

Il tema dei Responsabili del trattamento è affrontato nella quarta parte, nella quale sono evidenziate le caratteristiche dei Responsabili (richiamando “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’European Data Protection Board - EDPB) e gli adempimenti previsti dall’art. 28 del GDPR, anche con riferimento ai sub-responsabili. Un paragrafo specifico è dedicato ad illustrare, a titolo esemplificativo, alcuni tipici responsabili esterni degli Ordini Professionali, quali:

• il consulente del lavoro che elabora buste paga;
• le società di servizi incaricate della gestione del sito web o dei servizi cloud;
• le società di servizi di videosorveglianza, purché abbiano accesso diretto e immediato alle videoregistrazioni.

Infine, la quinta parte contiene tre focus specifici su altrettante attività considerate particolarmente rilevanti sotto il profilo del trattamento dei dati, quali la formazione professionale, le segnalazioni di illeciti (whistleblowing) e la gestione del sito web istituzionale.

A chiusura, come anticipato, è fornita un’ampia appendice contenente una serie di fac-simile a supporto degli Ordini territoriali.

In definitiva, si tratta di un documento che, pur non affrontando in toto le problematiche legate al complesso di adempimenti cui deve sottostare l’Ordine, costituisce una valida guida a supporto dei Consigli, soprattutto per coloro che ancora oggi faticano e gestire i numerosi obblighi cui sono sottoposti tali Enti. Sorprende, infine, la mancanza di riferimenti al rapporto tra gli Ordini territoriali e il Consiglio Nazionale in tema di trattamento di dati, ove si consideri la gestione, di fatto, condivisa dei dati degli iscritti; probabilmente il CNDCEC non ha ritenuto opportuno vincolare troppo i Consigli territoriali in tal senso. In ogni caso, ci sarà spazio in futuro per ulteriori approfondimenti della Commissione su questo e su ulteriori argomenti correlati.

Fonte: Linee guida privacy CNDCEC